Sie sind auf Seite 1von 15

Secure Software

Development
Lifecycle

für

Webanwendungen
Hintergrund
Der Sicherer SDLC

 OPTIMAbit GmbH arbeitet seit 2005 aktiv im Bereich sicherer SDLC.

 Das Ziel ist es, Unternehmen bei der Planung und Umsetzung zu
unterstützen.

 In diesem Vortrag geht es darum, ein Überblick über die wichtigste


Aspekte des sicheren SDLCs zu gewinnen

 Es wird hier das Model „OpenSAMM“ (Software Assurance Maturity


Model) als Beispiel verwendet.

Copyright OPTIMAbit GmbH, 2011


Komplexität erzeugt Unsicherheit

Je komplexer eine Anwendung , desto


schwieriger die Absicherung.

Verglichen mit Anwendungen, sind


Netzwerke relativ einfach.

Schwachstellen entstehen aus Fehlern in:


– Design / Architektur

– Implementierung

– Deployment & Konfiguration

– Laufzeitumgebung

Copyright OPTIMAbit GmbH, 2011


Strategische Lösung: Sicherer SDLC
Überblick sicherer Software Development Lifecycle (SDLC)

Das Open Software Assurance Maturity Model (SAMM) definiert strategische


Maßnahmen für sichere Software. Ein OWASP Projekt

Andere Modelle existieren auch, z.B. Microsoft, BSI-MM.

Copyright OPTIMAbit GmbH, 2011


Wichtige Teile eines Secure SDLC
Diese Aktivitäten sichern eine Basislinie für sichere Webapps

Governance Construction Verification Deployment

Appsec Sicherheits-
Pentest Hardening
Standard anforderungen

Sichere Vulnerability
Ausbildung Code Review
Frameworks Mgmt

Copyright OPTIMAbit GmbH, 2011


Anwendungssicherheit Standard
Vorgaben für sicheres Design und Architektur

Application Security Standards:


 definieren Standards für sichere
Policies
Anwendungen auf hohem
Abstraktionsniveau
 unterstützen technische Mitarbeiter, Standards
Architekten und Projektleiter (Inhouse und
Outsourcing)
 sind hochstrukturiert --- keine Richtlinien
desorganisierte Listen von „Best Practices“

Copyright OPTIMAbit GmbH, 2011


Anwendungssicherheit Standard (Inhalt)
Beispielinhalt und Umfang

Standards für: Eingabevalidierung

Fehlerbehandling
 Allgemeine Anwendungen
Session Management
 Webanwendungen
HTML & HTTP
 Webservices
Zugriff auf
Datenbanken
 SAP
Uvm…

Copyright OPTIMAbit GmbH, 2011


Code Review
Ihr Code wird auf Qualität und Sicherheit geprüft

Code Reviews sorgen für sichere


Code
Anwendungen und erhöhte Code-
Entwicklung
Qualität. Developers

Es ist sinnvoll, entweder ein


Expertenteam auszubilden oder Tickets & Review &
Feedback
externe Unterstützung zu holen. Analyse

Plus: schnell und wiederholbar


Update, Filter,
Management Analyse
Minus: False Positives, False Negatives
Tool
OPTIMA
Review Team

Copyright OPTIMAbit GmbH, 2011


Penetrationstest einer Webanwendung
Qualität ist entscheidend --- Gute Tests brauchen auch Zeit

Ein hochwertiger Pentest:


 ist strukturiert nach OWASP
Standards und BSI Kriterien.
Kickoff Testing Analyse Reporting
 erkennt aktuelle Schwachstellen.
 baut primär auf manueller
Expertentest (Tools auch wichtig)
 ausführlich dokumentiert mit
nachvollziehbare
Risikobewertungen.

Copyright OPTIMAbit GmbH, 2011


Ausblick & Empfehlungen

Ist-Aufnahme über den SDLC


 Wo steht man und was ist zu tun? Operational
Strategy & Metrics
1 Policy &
Enablement 0,8 Compliance

 Maßnahmen daraus ableiten Environment


Hardening
0,6 Education &
Guidance
0,4
0,2
 Pentest und Code Review auf Vulnerability
Management
0 Threat Assessment

regulärer Basis setzen


Security
Security Testing
Requirements
 Security Standards für Anwendungen Code Review
Secure
Architecture
definieren Design Review

Copyright OPTIMAbit GmbH, 2011


Zielsetzung (Jahresplan)
Binnen 1 Jahr den Basisschutz erreichen 1

0,8
 Eine ausgewogene Verteilung 0,6
der Sicherheit ist wichtig 0,4

0,2
 2011: Basisschutz soll erreicht
0
werden

 2012: fortgeschrittener Schutz


soll erreicht werden

Aktueller Stand
Basisschutz (2011)
Fortg. Schutz (2012)

Copyright OPTIMAbit GmbH, 2011


Vielen Dank

für Ihre Aufmerksamkeit


Über

OPTIMbit
GmbH

Fokus Kunden Credo

IT-Sicherheit für Unternehmen Herstellerneutrale


Anwendungen ab ca. 500 Beratung von
& Mitarbeitern höchster Qualität
Infrastrukturen
Ein komplettes Angebot

Secure Software Lifecycle • Pentest, Code Quality, Policies

Zertifizierung & Compliance • ISO 2700X, PCI-DSS

Enterprise Systeme • IBM, Oracle, SAP

Lösungen • WAF, SSO, IdM, SmartCard

Seminare & Awareness • Anwender, Entwickler, Manager

Copyright OPTIMAbit GmbH, 2011


Kontakt

OPTIMAbit GmbH
Dr. Bruce Sams
Marktplatz 2
85375 Neufahrn

Tel.: +49 8165/65095


Fax +49 8165/65096

bruce.sams@optimabit.com
www.optimabit.com

Copyright OPTIMAbit GmbH, 2011